資安公司Mandiant近期發現了名為CosmicEnergy的新型惡意軟件,該軟件與俄羅斯有所聯繫,主要針對工業控制系統 (ICS) ,特別是電網中斷的狀況。這款以操作技術 (OT) 為目標的惡意軟體系列,專為與IEC 60870-5-104 (IEC-104) 設備進行交互而設計,進一步發送遠程命令以篡改電力線開關和斷路器的狀態,其最終目的是造成電源中斷。對於受影響的電網資產,Mandiant認為CosmicEnergy構成了合理的威脅。
CosmicEnergy惡意軟體主要有兩個組件。一是LightWork,它執行IEC-104協議,以將遠程終端單元 (RTU) 狀態修改為開或關;二是PieHop,它連接到指定的遠程MSSQL服務器,並利用LightWork上傳文件,向RTU發送遠程命令。然而,這款惡意軟體無法自行收集實施攻擊所需的信息,包括IP地址和憑據,因此,攻擊者需要手動收集這些信息。
根據Mandiant的調查,該惡意軟體可能源自俄羅斯網絡安全公司Rostelecom-Solar的承包商。這家公司曾於2019年接受俄羅斯政府的補貼,進行網絡安全專家的培訓並開展電力中斷和應急響應演習。據推測,CosmicEnergy可能已在2021年或2022年的演習中使用過。
儘管Mandiant提出了以上的可能解釋,但由於缺乏確鑿證據,他們同時也認為,其他可能的參與者可能重複使用與網絡範圍相關的代碼來開發這種惡意軟體。國家行為者常常調整和使用紅隊工具,包括商業和公開可用的開發框架,來促進現實世界的攻擊。
CosmicEnergy的功能讓研究者們聯想到過去針對烏克蘭能源部門的俄羅斯惡意軟體,如Industroyer和Industroyer2。此外,該惡意軟件在技術上與其他操作技術 (OT) 惡意軟件家族有所相似,如Triton和Incontroller,這些惡意軟體同樣旨在造成物理損壞或中斷。這種類型的威脅使得工業控制系統的安全成為了一個亟待解決的議題。
Comment